워드프레스 사용자 39만 명 계정 유출, 보안 커뮤니티의 신뢰 악용한 공격 - 데일리시큐
워드프레스 사용자 39만 명 계정 유출, 보안 커뮤니티의 신뢰 악용한 공격 - 데일리시큐
사이버 범죄 조직 MUT-1244가 워드프레스(WordPress) 계정 39만 개 이상을 탈취한 대규모 공격이 확인됐다. 워드프레스 사용 조직의 각별한 주의가 요구된다.이들은 워드프레스 자격 증명 확인 도구로
www.dailysecu.com
390,000+ WordPress Credentials Stolen via Malicious GitHub Repository Hosting PoC Exploits
- 사건 개요
- 사이버 범죄 조직 MUT-1244가 약 1년 동안 워드프레스 사용자 39만 명의 계정을 탈취
- 악성 GitHub 저장소와 피싱 캠페인을 통해 민감한 데이터를 수집
- 피해 데이터에는 SSH 개인 키, AWS 접근 키, 환경 변수 등 포함
- 공격 수법
- 워드프레스 자격 증명 확인 도구 위장
yawpp라는 워드프레스 자격 증명 확인 도구로 위장- 악성 npm 패키지와 함께 배포되어 데이터 탈취 수행
- GitHub 저장소 악용
- PoC(개념 증명) 코드를 제공하는 척하며 악성 코드를 숨김
- 신뢰할 수 있는 위협 인텔리전스 플랫폼의 이름을 도용해 신뢰도 상승
- 피싱 이메일 캠페인
- 사용자를 속여 악성 명령어를 실행하게 유도
- 가짜 커널 업데이트 명령 실행을 통해 시스템 감염
- 데이터 유출 경로
- 탈취한 데이터는 Dropbox와 File.io 플랫폼을 통해 전송
- 하드코드된 자격 증명을 통해 해당 플랫폼에 접근
- 워드프레스 자격 증명 확인 도구 위장
- 피해 범위
- 워드프레스 계정 39만 개 이상의 자격 증명 유출
- 주요 피해자: 보안 연구원, 침투 테스터, 위협 행위자
- 유출 데이터: SSH 키, AWS 토큰, 특정 디렉터리 파일
- 악성 코드 및 공격 방법
- 멀웨어 종류
- 암호화폐 모네로 채굴기 배포
- 환경 변수 및 주요 파일을 탈취하는 기능 포함
- 다양한 접근 벡터
- PDF 파일에 숨겨진 악성 페이로드
- Python 드로퍼를 사용한 멀웨어 설치
- 백도어 컴파일 파일 활용
- 멀웨어 종류
- 보안 권고
- 서드파티 도구 검증
- 신뢰할 수 없는 도구와 저장소 사용 자제
- 오픈소스 코드 사용 시 엄격한 검증 절차 필요
- 보안 모니터링
- GitHub 저장소 및 PoC 코드 다운로드 전 악성 여부 확인
- 보안 소프트웨어를 활용한 실시간 탐지 강화
- 교육 및 경각심 제고
- 보안 연구원 및 관련 종사자를 대상으로 피싱 캠페인 경고
- 자격 증명 및 SSH 키 관리에 대한 보안 교육 필수
- 서드파티 도구 검증
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 티아이드론 공격 그룹의 국내 활동 및 보안 권고 (0) | 2024.12.27 |
|---|---|
| 정부, 2025년 사이버 위협 전망 및 2024년 사이버 위협 사례 분석 (1) | 2024.12.26 |
| 디지털 전환 시대의 주요 문제와 핵심 과제 (1) | 2024.12.26 |
| 공공 규제 완화와 클라우드 보안 인증(CSAP) 증가 (0) | 2024.12.26 |
| 네이버웹툰 직원의 개인정보 무단 저장 및 악용 사건 (0) | 2024.12.26 |